Java云服务开发知识之常见安全威胁分析和解决方法

举报
breakDawn 发表于 2020/11/22 11:42:35 2020/11/22
【摘要】 安全威胁以及解决方法(横线后面的就是解决方法)§ Spoofing 仿冒——认证搞一个克隆的手机号, 接入到公用wifi中看违反视频干违法之事,然后另一个人背锅了 ( 外部交互方)—— 手机短信验证码接入, 或者ssl证书双向认证公用wifi被我替换成了仿冒的同名假wifi, 其他手机就误接进来了,我就能偷偷知道谁在下小黄片了 (处理过程), 或者是搞了个假的淘宝,让别人点进来—— ssl双...

安全威胁以及解决方法(横线后面的就是解决方法)

§ Spoofing 仿冒——认证

  • 搞一个克隆的手机号, 接入到公用wifi中看违反视频干违法之事,然后另一个人背锅了 ( 外部交互方)—— 手机短信验证码接入, 或者ssl证书双向认证

  • 公用wifi被我替换成了仿冒的同名假wifi, 其他手机就误接进来了,我就能偷偷知道谁在下小黄片了 (处理过程), 或者是搞了个假的淘宝,让别人点进来—— ssl双向认证

§ Tampering 篡改——完整性

  • 服务器的监听特性被纂改?(处理过程)—— 校验端口正确,配置文件mac对比,mac存到服务端

  • 直接再数据库里修改你的个人信息或者金钱(存储)——acl权限控制

  • 某app偷偷修改你的host,把你想发给华为的数据发送到黑客的服务器上了。(数据流) —— acl权限认证,host不可更改,或者文件mac对比

§ Repudiation 抵赖,否认做过的事——防抵赖

  • 有人用root登录后干了rm -rf 这事, 却说自己没做过,你查不到我(外部交互方) ——审计日志

  • 修改日志记录函数(例如替换jar包之类的), 日志故意不记录自己的名字 ( 处理过程)——认证

  • 直接去存储的地方修改日志信息(存储过程, 只有日志会存盘才有可能)——认证

§ Imformation Disclosure 信息泄露——机密性

  • 从app的应用启动目录找到一个二进制文件,可以解密处密钥(处理过程)——加密

  • 入侵数据库里。可以找到明文口令(存储过程)——加密

  • 明文口令直接加在http中, 然后被人直接抓包拿到口令了(数据流)——加密

§ Denial of Service 拒绝服务——可用性

  • 服务器承载不住请求量,内存不足或者cpu爆满(处理过程) ——负载均衡

  • 疯狂执行写操作,然后磁盘满了(存储过程)——缓存

  • 故意拦截中间链路,导致数据流中断(数据流)——过滤

§ Elevation of privilege 权限提升——授权

  • 在处理过程中, 用户权限比实际的高(处理过程)——权限最小化\沙箱

§ Privacy隐私

  • 外部交互方: 没有经过用户同意,就收集隐私—— 应该加勾选项告知用户

  • 数据存储: 直接把用户数据存盘却没有加密或者脱敏—— 数据脱敏、匿名化


【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。